Cyber Kill Chain

La , es un marco que ilustra las etapas secuenciales en un ciberataque. Este concepto se ha generalizado en la comunidad de seguridad cibernética para entender y defender contra amenazas avanzadas, descomponiendo la estructura del ataque en fases discernibles. Este capítulo profundiza en cada etapa, proporcionando un marco técnico y estratégico para comprender las tácticas, técnicas y procedimientos (TTP) de los ciberadversarios.

Fase 1: Reconocimiento

• Definición: Identificación de objetivos, recolección de información pública y privada, y desarrollo de inteligencia para planificar futuros ataques.

• Ejemplo técnico: Atacantes pueden emplear "scraping" en redes sociales y herramientas de OSINT (Inteligencia de Fuentes Abiertas) para recolectar datos sobre sus objetivos.

Fase 2: Desarrollo de Armas

• Definición: Creación de un vector de ataque y producción de malware o herramientas adaptadas para explotar vulnerabilidades conocidas o desconocidas (zero-days).

• Ejemplo técnico: Creación de un documento malicioso utilizando exploits para vulnerabilidades específicas de un software ampliamente utilizado.

Fase 3: Entrega

• Definición: Implementación del vector de ataque, asegurando que el malware o la herramienta llegue al usuario o sistema objetivo.

• Ejemplo técnico: Campañas de phishing que utilizan ingeniería social para persuadir a los usuarios de ejecutar el payload malicioso.

Fase 4: Explotación

• Definición: Utilización de vulnerabilidades dentro del sistema objetivo para ejecutar código malicioso.

• Ejemplo técnico: Explotar una vulnerabilidad en un navegador para ejecutar un shellcode.

Fase 5: Instalación

• Definición: Establecimiento de una presencia sostenida en el sistema objetivo, instalando malwares adicionales o backdoors.

• Ejemplo técnico: Despliegue de un RAT (Remote Access Trojan) para obtener control continuo sobre el sistema.

Fase 6: Comando y Control (C2)

• Definición: Establecimiento de un canal de comunicación encubierto entre el malware y el adversario para guiar acciones posteriores en el sistema infectado.

• Ejemplo técnico: Utilización de protocolos comunes y legítimos, como HTTP/HTTPS, para camuflar el tráfico de C2.

Fase 7: Acciones sobre Objetivos

• Definición: Ejecución de la finalidad del ataque, que puede incluir espionaje, destrucción de datos, o la disrupción de procesos y servicios.

• Ejemplo técnico: Ransomware que cifra datos críticos y demanda un rescate para su recuperación.

Contramedidas y Defensas Estratégicas

Es imperativo que cada fase de la Cyber Kill Chain sea comprendida no solo en términos de ofensiva sino también desde una perspectiva defensiva. Las estrategias y soluciones de seguridad deben ser implementadas en cada etapa para detectar, prevenir y mitigar los ataques.

• Reconocimiento: Implementar políticas de privacidad y entrenamiento de concienciación de seguridad para limitar la exposición de información.

• Desarrollo de Armas a Comando y Control: Utilizar soluciones de seguridad endpoint, actualizar y parchear sistemas regularmente, y emplear medidas de seguridad de red como IDS/IPS para detectar anomalías.

• Acciones sobre Objetivos: Implementar copias de seguridad regulares, soluciones anti-ransomware, y estrategias de recuperación ante desastres para mitigar el impacto de los ataques.